Добрый день, уважаемое хабрасообщество! Не так давно перед нашей компанией встал вопрос, какую из систем защиты от утечек данных выбрать. Под катом собственные мысли по данному вопросу, а также сравнительная таблица с описанием возможностей систем.
Прошу учесть, что статья не является рекламой какого-либо определенного продукта. В ней отражены взгляды одного единственного сотрудника ИТ-отдела средней компании.
Итак, на недавней планерке была поставлена задача «Внедрить!». Но что конкретно внедрять, оговорено не было, поэтому после изучения вопроса и проведения анализа рынка и был создан этот топик.
Наша организация не особо выделяется из массы прочих средних организаций, внутри имеется порядка 250 рабочих станций и несколько серверов, которые необходимо защищать от утечки очень важных и чрезвычайно секретных данных. К сожалению, статистика неумолима, и 80% утечек информации происходят по вине самих сотрудников организации (инсайдеры). Распространение данных может быть как умышленным, так и совершенно случайным, а все случаи такого распространения должны обнаруживаться и пресекаться (это в идеале). Как этого добиться? Администраторы компании могут полностью закрыть интернет, электронную почту и сменные носители, оставив тем самым пользователей совсем без доступа к внешним ресурсам. Вариант почти идеальной защищенности, за исключением того, что он никого не устраивает, кроме самих администраторов. Можно немного подобреть, и открыть доступ в интернет или к сменным носителям только «избранным» сотрудникам. Вероятность утечек уменьшится, но кто сможет гарантировать, что «избранный» сотрудник полностью лоялен компании? Казалось бы, положение безвыходное, но здесь на помощь приходят DLP-системы.
DLP (Data Loss Prevention)- система это программный продукт, созданный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Строится эта система на анализе потоков данных, выходящих за пределы корпоративной сети. В случае сработки определенной сигнатуры и детекта передачи конфиденциальной информации система либо блокирует такую передачу, либо посылает уведомления офицеру безопасности.
Основными требованиями к кандидатам были стоимость комплекса и количество контролируемых каналов.
В сравнении принимали участие:
- Securit ZGate;
- InfoWatch Traffic Monitor;
- Symantec Data Loss Prevention;
- Search Inform Контур безопасности;
- FalconGaze SecureTower.
Информация о продуктах бралась с официальных сайтов и от региональных представителей компаний. Вот что получилось в итоге:
| A | SecurIT | InfoWatch | Symantec | SearchInform | FalconGaze |
| Название системы | ZGate | TrafficMonitor | DataLossPrevention | Контур безопасности | SecureTower |
| Модульность системы | Да | Нет | Нет | Да | Нет |
| Места установки | На сервер+ZLock на клиентские ПК | Сервер, клиент | Сервер, клиент | Сервер, клиент | Сервер, клиент |
| Наличие сертификатов и лицензий | ФСТЭК НДВ 3 и ОУД4 |
ФСТЭК НДВ 4 и ИСПДн 1, Газпромсерт, Аккредитация ЦБ, сертификат совместимости eToken |
ФСТЭК НДВ 4 |
ФСТЭК НДВ 4 |
ФСТЭК НДВ 4 и ИСПДн 2 |
| Лицензирование | Почтовые ящики, рабочие места |
Каналы перехвата, технологии анализа |
n/a |
Сервер, mail, IM, Skype, Print, device, HTTP, FTP |
Рабочее место |
| Роли | Любое количество |
Несколько | Любое количество |
Любое количество |
Администратор системы, офицер безопасности |
| Контроль IM |
Да |
Да |
Да |
Да |
Да |
| Контроль HTTP/HTTPS, FTP |
Да | Да | Да | Да | Да |
| Контроль Skype |
Текст |
Текст |
Нет | Да | Да |
| Контроль E-mail |
Да | Да | Да | Да | Да |
| Социальные сети и блоги |
Да | Да | Да | Да | Да |
| Контроль подключаемых внешних устройств |
При покупке Zlock |
Да |
Да |
Да |
Нет |
| Контроль портов |
USB,COM,LPT, Wi-Fi, Bluetooth |
USB,COM,LPT, Wi-Fi, Bluetooth |
USB,COM,LPT, Wi-Fi, Bluetooth | USB, LPT |
USB, LPT |
| Блокируемые протоколы |
HTTP, HTTPS, SMTP, OSCAR |
HTTP, HTTPS, FTP, FTP over HTTP, FTPS, SMTP, SMTP/S, ESMTP, POP3, POP3S, IMAP4, IMAP4S |
SMTP, HTTP, HTTPS FTP, Yahoo Messenger, MSN Messenger, AIM, AIM Pro Messenger, MSN Messenger, AIM, AIM Pro Messenger, MSN Messenger, AIM, AIM Pro |
SMTP, POP3, MAPI, IMAP, HTTP,FTP, ICQ, Jabber |
HTTP, HTTPS, FTP, FTTPS, Вся почта и IM |
| Анализ по словарю |
Да | Да | Да | Да | Да |
| Лингвистический анализ |
Да |
Да+БКФ |
Нет |
да |
Да |
| Анализ транслита |
Да | Да | Нет | n/a | n/a |
| Анализ архивов |
Да | Да | Да | Да | Да |
| Анализ рисунков |
Да | Да | Да | Да | Нет |
| Предустановленные шаблоны фильтрации |
Да | Да | Да | Да | Да |
| Задержка отправки подозрительных сообщений |
Да, ОБ принимает решение |
Да, ОБ принимает решение |
Да, пользователь объясняет причину отправки, инцидент фиксируется |
n/a |
Нет, только информирование офицера ИБ |
| Логирование действий администраторов системы |
Да |
Да |
Да |
n/a | В случае утановки агента на РМ администратора |
| Режим установки агентов |
Открытый |
n/a |
n/a |
n/a |
Тайный/Открытый |
| Защита агентов от выключения |
Да |
Да |
Да |
Да |
Да |
| Запись отчетов в локальное хранилище в случае недоступности сервера |
Да |
Да |
Да |
Да |
Да |
| Просмотр истории инцедентов |
Да | Да | Да | Да | Да |
| Режимы оповещений |
Консоль, почта, графики |
Консоль, почта | Консоль, почта, графики |
Консоль, почта, графики |
Консоль, почта, графики |
| Возможность тестирования продукта на серверах разработчика |
нет |
нет |
Да | нет | на сервере дистрибьютора |
| Возможность получения демо-версии для тестирования внутри организации |
± |
± |
нет | ± |
Да, 1 месяц |
| Цена для компании 250 ПК |
2 500 000р. |
n/a | n/a | 3 300 000- 5 400 000 р. |
1 500 000р. |
Следует уточнить, что:
Модульность системы- параметр, означающий, может ли продукт все контролировать или необходимо закупать разные модули для контроля определенных каналов утечки информации.
Администратор системы производит установку и настройку системы. Офицер безопасности производит контроль за действиями сотрудников и работы системы в целом.
БКФ-база контентной фильтрации. Позволяет по определенным признакам отнести документ к определенной степени конфиденциальности.
ОБ-офицер безопасности.
РМ-Рабочее место.
Символом n/a обозначены пункты, информацию по которым мне уточнить не удалось, а символами ± те пункты, где получение информации вызвало трудность. К примеру, получение пробных версий довольно сложное мероприятие, требующее указать много данных об организации, а также привлечь специалистов компании-разработчика в свой офис.
Итак, эта таблица упростила выбор DLP-системы для моей организации, и, надеюсь, поможет вам сделать свой выбор в случае аналогичной задачи.